Хакерская группа Evilnum демонстрирует новые признаки злонамеренной активности, нацеленной на европейские организации, занимающиеся международной миграцией.
Evilnum — это APT (расширенная постоянная угроза), которая была активна как минимум с 2018 года, а ее кампания и инструменты были раскрыты совсем недавно, в 2020 году.
В то время ESET опубликовала технический отчет, описывающий тактику группы угроз против компаний в секторе финансовых технологий с использованием заказных, «самодельных» вредоносных программ.
Последнее разоблачение произошло благодаря работе аналитиков Zscaler, которые отслеживали активность Evilnum с начала 2022 года, фиксируя различные артефакты атак.
Документы, используемые в кампании, имеют разные имена файлов, обычно содержащие термин «соответствие». Zscaler выявил как минимум девять различных документов, все из которых упомянуты в разделе IoC отчета.
Вложение использует внедрение шаблона и технику топания кода VBA, чтобы избежать обнаружения, что приводит к выполнению сильно запутанного JavaScript.
